Quando somos informados sobre uma nova brecha de segurança, presumimos que os atacantes usaram um exploit nunca antes visto para se aproveitar de uma vulnerabilidade de zero-day com o intuito de atacar a defesa de uma empresa. No entanto, este cenário está geralmente longe de ser a realidade na maioria dos casos. Embora seja verdade que os grupos de cibercriminosos apoiados por um estado-nação tendem a usar vulnerabilidades de 0-day para se infiltrar nos alvos mais importantes de uma nação, esses alvos não são você, e provavelmente também não seja a sua empresa.
Na última edição da conferência do Virus Bulletin, realizada no início de outubro deste ano, assim como em outros anos, tivemos muitas histórias sobre ataques contra alvos financeiros de alto nível. Mas, no final, os agentes maliciosos não conseguiram comprometer esses alvos com exploits aterrorizantes, mas conseguiram entrar nos sistemas com um e-mail de phishing ou, como no caso narrado por um apresentador do RiskIQ, usando permissões abertas em um recurso popular na nuvem.
A realidade é que o ponto mais fraco da indústria de segurança é que os cibercriminosos preferem o caminho da menor resistência, que muitas vezes é dado por softwares de segurança mal configurados, erros humanos ou outras questões de segurança operacional. Em outras palavras, não se trata das técnicas sofisticadas utilizadas por um super-hacker, trata-se do que fazemos.
Se acreditamos que estamos fazendo tudo certo dentro da nossa própria empresa, isso pode não ser suficiente. Embora possamos ter protegido completamente nossa própria rede, as pessoas com quem interagimos podem não estar tão protegidas. Podemos pensar que rejeitamos com sucesso softwares de outros fornecedores, que não usamos a nuvem para colaboração e, portanto, sentimos que estamos em terreno seguro. No entanto, outros usuários na cadeia de suprimentos podem estar utilizando os serviços na nuvem de forma arriscada. E, às vezes, nem nós e nem eles sabemos que esta situação cria um risco significativo para ambos os ambientes.
No entanto, há muitas coisas que podemos fazer.
Os maiores incidentes de segurança que geralmente ocorrem hoje em dia começam com uma solução ou serviço externo que você usa. Embora possamos ter a melhor equipe de segurança, talvez eles não tenham uma equipe semelhante.
Se não temos certeza, aqui estão algumas coisas óbvias (ou não tão óbvias) que podemos perguntar para as nossas equipes de segurança:
Permissões na nuvem
É, sem dúvida, conveniente para computadores que compartilham recursos na nuvem, especialmente para compartilhar arquivos, contar com permissões completas sobre os arquivos para poder adicionar/alterar/remover o acesso a qualquer pessoa. Mas isto também pode ser um problema. No caso de projetos e equipes montados apressadamente, muitas vezes o que ocorre é que os recursos "temporários" são lançados na nuvem sem considerar as melhores práticas de segurança. Isso muitas vezes leva a que todos tenham permissões abertas como forma de garantir que tudo "funcione". E estes recursos muitas vezes sobrevivem durante anos, com o risco das informações privadas ficarem acessíveis de forma pública.
Plataformas de colaboração
As nossas equipes ou fornecedores externos utilizam serviços de mensagens, fóruns ou plataformas não seguras e/ou não monitoradas para discutir questões relacionadas com o negócio? Se criminosos (ou até mesmo concorrentes) puderem acessar comunicações internas sobre nossa empresa, isso pode nos causar grandes problemas. No mínimo, estaríamos fornecendo recursos significativos aos atacantes que procuram através de Engenharia Social acessar a nossa rede.
E-mail corporativo comprometido
De que forma bloqueamos a capacidade de enviar e-mails do nosso domínio? Essa avalanche de phishing pode vir de dentro da nossa própria casa? Se não estivermos cuidando bem da segurança dos e-mails, os atacantes podem estar usando nosso nome para fazer com que outras pessoas cliquem em links maliciosos. Poucas empresas contam com estratégias de autenticação de e-mail como DMARC, DKIM ou SPF para ajudar a verificar mensagens válidas.
Pode ser tentador continuar procurando as novas ameaças que os atacantes estão desenvolvendo, mas no final o mais importante é reparar as rachaduras mais simples que podem existir dentro do nosso próprio prédio. À medida que a tecnologia se torna mais onipresente, ela também introduz mais complexidade. Ao abordarmos de forma constante estes problemas mais simples, seremos capazes de dedicar menos energia à pressão exercida por técnicas sofisticadas utilizadas contra alvos de elevado valor e aproveitá-las para tornar as coisas realmente mais seguras.